NIS2 y DORA en vigor. EU AI Act es el próximo — reserva una demo

ENS Pentest: Pruebas de Penetración para el Esquema Nacional de Seguridad (Real Decreto 311/2022)

El Esquema Nacional de Seguridad (ENS), establecido mediante el Real Decreto 311/2022 y derivado del mandato del Art. 156 de la Ley 40/2015, es el marco normativo de referencia para la seguridad de la información en las Administraciones Públicas españolas. El ENS es obligatorio para todas las Administraciones Públicas — Administración General del Estado, Comunidades Autónomas, Entidades Locales y organismos públicos — y para los proveedores tecnológicos que gestionan sistemas de información para las mismas. Las pruebas de penetración son una medida explícita del ENS (Medida mp.s.3, «Pruebas de penetración») requerida para los sistemas de categoría alta y recomendada para los de categoría media. El CCN-CERT actúa como organismo de referencia técnica para la implantación y auditoría del ENS. Esta guía explica qué exige el ENS en materia de pruebas de penetración, cómo se categorizan los sistemas y cómo se obtiene la certificación ENS.

Iniciar el pentest ENS
MW
Escrito por Malte Wagenbach
Fundador de Matproof Security. Especializado en pruebas de penetración impulsadas por IA y cumplimiento UE (DORA, NIS2, ENS, ISO 27001).
Última revisión: 17 de mayo de 2026

Por qué el ENS hace obligatorias las pruebas de penetración en el sector público español

El ENS no es una recomendación de buenas prácticas: es una norma de obligado cumplimiento para las Administraciones Públicas que tiene rango reglamentario (Real Decreto). El Art. 156 de la Ley 40/2015 establece que las Administraciones Públicas aplicarán el ENS «en el diseño e implantación de los sistemas de información mediante los que se ejerzan las competencias». Los sistemas de información se clasifican en tres categorías de seguridad — alta, media y básica — en función del impacto potencial de una violación de la seguridad en los principios de disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad (DAIC-T). Para los sistemas de categoría alta, la Medida mp.s.3 del Anexo II del ENS establece que deben realizarse «pruebas de penetración» con la frecuencia que determine el análisis de riesgos. Para los sistemas de categoría media, las pruebas de penetración son una medida recomendada. La certificación ENS — obligatoria para los proveedores tecnológicos que ofrecen servicios en la nube o soluciones tecnológicas a las Administraciones Públicas — requiere superar una auditoría realizada por entidades de auditoría acreditadas, que incluye la verificación de las pruebas de penetración realizadas. El CCN-CERT publica guías técnicas (series CCN-STIC) que desarrollan los requisitos del ENS, incluyendo la CCN-STIC-807 (Criptografía de empleo en el ENS), la CCN-STIC-301 (Herramientas de seguridad) y la CCN-STIC-452 (Seguridad en entornos web).

  • ENS Anexo II Medida mp.s.3 («Pruebas de penetración»): medida de seguridad explícita en el marco del ENS — obligatoria para sistemas de categoría alta, recomendada para categoría media; la frecuencia de las pruebas se determina mediante análisis de riesgos.
  • ENS Anexo II Medida mp.s.2 («Seguridad en el ciclo de vida»): requiere la realización de pruebas de seguridad en el proceso de desarrollo y antes de la puesta en producción de sistemas de información — las pruebas de penetración forman parte de este ciclo.
  • Certificación ENS para proveedores tecnológicos: los proveedores que ofrecen servicios en la nube (IaaS, PaaS, SaaS), gestión documental, comunicaciones o cualquier solución tecnológica a Administraciones Públicas deben obtener la certificación ENS — el proceso de certificación incluye auditoría por entidad acreditada que verifica las pruebas de penetración realizadas.
  • Auditoría bienal ENS: los sistemas de información de las Administraciones Públicas deben auditarse al menos cada dos años por entidades auditoras acreditadas (Entidades de Auditoría ENS, inscritas en el CRUE/INTA) — la auditoría incluye verificación de las pruebas de seguridad técnica realizadas.
  • CCN-CERT como referencia técnica: el Centro Criptológico Nacional (CCN) publica las guías CCN-STIC de implementación del ENS y opera como CERT nacional para las Administraciones Públicas — sus guías técnicas son la referencia para las pruebas de penetración en el sector público español.
  • ENS y contratación pública tecnológica: la Ley 9/2017 de Contratos del Sector Público permite incluir requisitos ENS en los pliegos de condiciones técnicas de los contratos de servicios TIC — los adjudicatarios deben acreditar el cumplimiento del ENS para los sistemas que gestionen.
  • ENS y NIS2 para Administraciones Públicas: las Administraciones Públicas consideradas operadores de servicios esenciales bajo NIS2 deben cumplir simultáneamente con el ENS y con los requisitos NIS2 del Art. 21 — el ENS actúa como marco de cumplimiento base que complementa NIS2.

Qué debe cubrir una prueba de penetración conforme al ENS

  • Aplicaciones web y portales de administración electrónica: sede electrónica, registro electrónico, tramitación de expedientes, plataformas de notificación — OWASP Top 10 (2021), CCN-STIC-452 (Seguridad en entornos web), verificación de implementación de Cl@ve y certificado electrónico.
  • Gestión de identidades y accesos (ENS Medida op.acc.4-7): autenticación de funcionarios, gestión de privilegios, Single Sign-On institucional, acceso de funcionarios con habilitación nacional — CVE-2021-42278 (noPac samAccountName spoofing en Active Directory).
  • Seguridad de infraestructura de red (ENS Medida mp.com): segmentación de redes, perímetros de seguridad, cortafuegos, inspección del tráfico TLS, VPN para acceso remoto — verificación de controles de la Medida op.ext.1 para servicios externalizados.
  • Protección de datos de los ciudadanos (ENS Medidas de confidencialidad): cifrado de datos en reposo y en tránsito conforme a CCN-STIC-807 (Criptografía del ENS), verificación de algoritmos aprobados, gestión de claves criptográficas.
  • Continuidad del servicio público (ENS Medida op.cont): prueba de los mecanismos de respaldo y recuperación — verificación de que los sistemas de copia de seguridad no son comprometibles desde la red de usuario, tiempo de recuperación ante incidentes.
  • Sistemas de tramitación electrónica y expediente administrativo: plataformas de gestión documental, sistemas de firma electrónica, plataformas de contratación pública (PLACE, PLACSP) — integridad de los expedientes administrativos y trazabilidad de las modificaciones.
  • Infraestructura de comunicaciones seguras (CCN-STIC-811): certificados SSL/TLS de sedes electrónicas, verificación de suites de cifrado conforme al ENS — CVE-2023-0215 (heap-buffer-overflow OpenSSL), detección de algoritmos obsoletos (SHA-1, MD5, RC4).
  • Gestión de vulnerabilidades (ENS Medida mp.s.2): verificación del estado de parcheo de los sistemas de información — CVE-2021-44228 (Log4Shell) en aplicaciones Java de administración electrónica, CVE-2023-44487 (HTTP/2 Rapid Reset) en infraestructura web.
  • Monitorización y registro de actividad (ENS Medida op.mon): verificación de que los eventos de seguridad son registrados y analizados — cobertura del sistema de detección de intrusos (IDS/SIEM), retención de logs conforme al ENS.
  • Seguridad de la nube pública (ENS en entornos cloud): verificación de la certificación ENS de los proveedores cloud utilizados, configuración de controles de acceso IAM, seguridad de contenedores y microservicios en plataformas certificadas ENS.

Ejemplo de hallazgo

Alto

Inyección SQL en formulario de tramitación de la sede electrónica municipal

Durante la prueba de penetración de la sede electrónica de una administración local categoría media ENS, se identificó una vulnerabilidad de inyección SQL (OWASP A03:2021 Injection) en el formulario de consulta de estado de expedientes administrativos. La manipulación del parámetro «num_expediente» en la solicitud POST permite al atacante extraer datos de la base de datos subyacente mediante inyección SQL basada en tiempo (time-based blind SQL injection). La explotación confirmada permitió al equipo de prueba obtener el listado completo de expedientes administrativos activos, incluyendo datos personales de los ciudadanos (nombre, NIF, dirección, teléfono) y el estado de tramitación de los expedientes. La base de datos contiene aproximadamente 45.000 registros de ciudadanos. Esta vulnerabilidad requiere notificación a la AEPD conforme al Art. 33 RGPD por acceso potencial no autorizado a datos personales de ciudadanos. CVE-2021-21234 (SQL injection en aplicaciones de gestión pública) ilustra la prevalencia de este tipo de vulnerabilidades en el sector.

Corrección: Implementar inmediatamente consultas parametrizadas (prepared statements) en todos los puntos de entrada de datos de la aplicación — nunca concatenar valores de usuario en consultas SQL. Realizar una auditoría completa del código fuente de la aplicación para identificar todas las instancias de generación dinámica de SQL. Implementar un WAF (Web Application Firewall) como medida adicional de defensa en profundidad. Evaluar el alcance de la explotación potencial — si existe evidencia de explotación previa, notificar a la AEPD conforme al Art. 33 RGPD. Documentar la remediación para la próxima auditoría ENS y el informe de categorización del sistema.

Referencia: CVE-2021-21234 (SQL injection en gestión pública) · OWASP A03:2021 Injection · CWE-89 SQL Injection · ENS Real Decreto 311/2022 Anexo II Medida mp.s.3 (Pruebas de penetración) · CCN-STIC-452 §6.3 (Seguridad en entornos web) · RGPD Art. 33 (notificación de violación de datos)

Pentest ENS: comparación de opciones para el sector público

Escaneo gratuitoMatproof SentinelConsultoría tradicional
Motor de escaneo automatizado✓ (vista previa 3 min)✓ Escaneo completo✗ Solo manual
Cobertura OWASP Top 10Parcial✓ Completa✓ Completa
Evidencia proof-of-exploit✓ Por hallazgo✓ Por hallazgo
Mapeo normativo (DORA/NIS2/ISO 27001)✓ Automatizado✓ Manual
Informe PDF listo para auditoría✓ Inmediato✓ Entrega 2–4 semanas
Escaneos continuos / recurrentes✓ Por despliegue✗ Encargo anual
Tiempo hasta el primer resultado~3 min~30 min escaneo completo2–4 semanas
Precio€0Desde €149€8.000–€25.000
Revisión de código fuente (SAST)✓ Plan Growth✓ En alcance
Pruebas de API (REST/GraphQL)✓ Automatizado✓ Manual

Ofertas de pentest conformes con el ENS

Escaneo único
€149 pago único
  • 1 escaneo pentest completo
  • Hallazgos priorizados por IA con CVSS 3.1
  • Proof-of-exploit por hallazgo
  • Informe PDF listo para auditoría
  • Mapeo normativo (DORA, NIS2, ISO 27001)
Comprar escaneo único
Recomendado
Starter
€299 / mes
  • Escaneos ilimitados (hasta 3 dominios)
  • Monitorización continua
  • Integración CI/CD (GitHub, GitLab)
  • Todos los mapeos normativos
  • Soporte prioritario
Iniciar Starter
Growth
€799 / mes
  • Escaneos + dominios ilimitados
  • Pruebas autenticadas / White-Box
  • Pruebas de API e infraestructura cloud
  • Account manager de seguridad dedicado
  • SLA de respuesta en 24h
Contactar para Growth

Preguntas frecuentes sobre las pruebas de penetración en el marco del ENS

¿Qué organismos públicos están obligados a cumplir el ENS?

El ENS (Real Decreto 311/2022) es obligatorio para toda la Administración General del Estado y sus organismos dependientes, las Comunidades Autónomas y sus organismos y entes dependientes, las Entidades Locales (ayuntamientos, diputaciones, cabildos), las entidades de derecho público vinculadas o dependientes de las Administraciones Públicas, las universidades públicas, y los proveedores del sector privado que gestionen, traten o almacenen información de las Administraciones Públicas o presten servicios tecnológicos a estas.

¿Cuáles son las categorías ENS y cuándo son obligatorias las pruebas de penetración?

El ENS clasifica los sistemas de información en tres categorías según el impacto potencial de una violación de seguridad en los principios DAIC-T: Categoría Alta (impacto muy grave en los intereses de los ciudadanos o el funcionamiento de las instituciones), Categoría Media (impacto grave), Categoría Básica (impacto limitado). Las pruebas de penetración (Medida mp.s.3) son: obligatorias para Categoría Alta, recomendadas para Categoría Media, y opcionales para Categoría Básica. La categoría del sistema se determina mediante el proceso de categorización formal del Art. 40 del ENS.

¿Cómo se obtiene la certificación ENS y qué papel juegan las pruebas de penetración?

La certificación ENS se obtiene mediante auditoría realizada por una Entidad de Auditoría ENS acreditada por el CCN (ENAC-CCN). El proceso incluye: revisión documental del sistema de gestión de seguridad, verificación técnica de las medidas del Anexo II del ENS, y validación de las pruebas de seguridad realizadas. La Entidad de Auditoría verifica que el organismo o proveedor ha realizado pruebas de penetración conformes con la categoría del sistema, con una metodología documentada y con remediación de hallazgos críticos. Los informes de pentest son parte del expediente de certificación que se presenta al CCN para la emisión del certificado.

¿Con qué frecuencia deben realizarse las pruebas de penetración bajo el ENS?

El ENS no prescribe una frecuencia fija para las pruebas de penetración — la Medida mp.s.3 establece que la frecuencia se determinará mediante análisis de riesgos. Las guías CCN-STIC y las instrucciones técnicas del CCN recomiendan: al menos anualmente para sistemas de categoría alta, y cada dos años para sistemas de categoría media. Adicionalmente, debe realizarse una prueba de penetración tras cambios significativos en la arquitectura del sistema o tras incidentes de seguridad relevantes. La auditoría bienal del Art. 31 del ENS implica que el organismo debe contar con resultados de pruebas de penetración recientes para superar la auditoría.

¿Pueden los proveedores privados obtener la certificación ENS para sus productos cloud?

Sí — la certificación ENS para proveedores privados (Real Decreto 311/2022 y Resolución de 22 de octubre de 2020 de la Secretaría de Estado de Digitalización e Inteligencia Artificial) es obligatoria para los proveedores de servicios en la nube (IaaS, PaaS, SaaS) que ofrezcan servicios a las Administraciones Públicas. El proceso incluye: auditoría por Entidad de Auditoría ENS acreditada, presentación del expediente al CCN, emisión del certificado con vigencia de dos años. Los principales proveedores cloud han obtenido la certificación ENS: AWS GovCloud, Microsoft Azure Government, Google Cloud para el sector público.

¿Cómo se relacionan el ENS y el RGPD/LOPDGDD para los datos de ciudadanos?

El ENS y el RGPD/LOPDGDD son marcos normativos complementarios para las Administraciones Públicas. El ENS se centra en la seguridad de los sistemas de información en sentido amplio, mientras que el RGPD/LOPDGDD regula específicamente el tratamiento de datos personales. Las Administraciones Públicas que tratan datos personales de ciudadanos (prácticamente todas) deben cumplir simultáneamente con ambos marcos. Las pruebas de penetración de sistemas que traten datos personales satisfacen simultáneamente los requisitos del ENS (Medida mp.s.3) y del Art. 32 RGPD (medidas técnicas de seguridad apropiadas). Los informes de pentest pueden utilizarse como evidencia ante la AEPD en caso de inspección.

¿Qué papel tiene el CCN-CERT en las pruebas de penetración del sector público?

El CCN-CERT (Equipo de Respuesta a Incidentes del Centro Criptológico Nacional) es el CSIRT de referencia para las Administraciones Públicas españolas. En materia de pruebas de penetración: publica las guías CCN-STIC de referencia para la implementación de pruebas de seguridad técnica (CCN-STIC-452 Entornos web, CCN-STIC-301 Herramientas de seguridad); mantiene el catálogo de herramientas de auditoría aprobadas (AMPARO, LUCIA, CARMEN); realiza análisis de malware y soporte a incidentes para las Administraciones Públicas; y valida las capacidades de los equipos de auditoría en el marco del ENS.

¿Puede Matproof Sentinel utilizarse para las pruebas de penetración requeridas por el ENS?

Matproof Sentinel puede utilizarse para las pruebas de penetración de los sistemas de información de las Administraciones Públicas y sus proveedores tecnológicos en el marco del ENS. Los informes generados por Matproof Sentinel incluyen referencias a los controles del ENS (Medida mp.s.3, mp.s.2), metodología documentada (OWASP Testing Guide, PTES), clasificación de hallazgos por severidad CVSS 3.1, y estado de remediación — el nivel de detalle exigido por las Entidades de Auditoría ENS. Para sistemas de categoría alta que requieran auditores específicamente acreditados, Matproof Sentinel puede complementar una auditoría formal ENS como herramienta de monitorización continua.

Temas relacionados

Profundiza — artículos relacionados del blog

Inicie su pentest conforme al ENS

Obtenga en 3 minutos una evaluación técnica de los sistemas de su Administración Pública o de su solución tecnológica para el sector público. Matproof Sentinel genera informes de prueba de penetración con referencias explícitas a las medidas del Anexo II del ENS y a las guías CCN-STIC del CCN-CERT, listos para su presentación en procesos de certificación ENS o auditorías bienales.

Iniciar el pentest ENS